この記事では、特定のIPS署名を持つトラフィックがIPS検査エンジンをバイパスできるようにするための許可リストルールの作成方法について説明します。
Catoの侵入防止システム(IPS)エンジンは、WANとインターネットトラフィックを検査して様々なネットワーク攻撃を検出し、異なる予防技術を使用してネットワークを保護します。 いくつかのIPS保護は、潜在的なネットワーク攻撃の種類を定義するトラフィック署名に基づいています。 トラフィックパターンがIPS署名に一致するたびに、IPSエンジンはトラフィックにIPSポリシーアクション(ブロック、モニタ、または許可)を適用します。
IPSブロックアクションの場合、IPS許可リストルールを使用して、IPSエンジンが一致するトラフィックを無視するように構成できます。 たとえば、イベント画面のIPSブロックイベントから直接IPS許可リストルールを作成することができます。
注意
注意: ドメイン名やFQDNを使用したIPS許可リストルールは、すべてのIPS保護およびシグネチャに適用されません。 その代わりに、すべてのIPS保護を許可リストに追加するために、ルールにIP範囲を使用してください。
ネットワークトラフィックの特定のスコープに従って、IPSエンジンのためにトラフィックを許可リストに含めるルールを作成できます。 ソース (From) からデスティネーション (To) へのトラフィックは、次の種類のネットワークトラフィックの1つに基づいてのみ許可リストに登録されます:
- WAN - Cato Cloudを介したサイトとホスト間のWANトラフィック
- インバウンド - インターネットから内部顧客ネットワークへのトラフィック
- アウトバウンド - 内部顧客ネットワークからインターネットへのトラフィック
- すべて - 任意のネットワークトラフィック
次のテーブルは、IPS許可リストルールの設定を定義するために使用できるアイテムを説明しています:
| 項目 | 説明 |
|---|---|
| 名前 | IPS許可リストルールの名前。 |
| スコープ |
IPS許可リストが適用されるトラフィックの保護スコープ。 ルールのスコープは編集できません。 |
| ソース | このルールのトラフィックの送信元。 |
| 宛先 | このルールのトラフィックの宛先。 |
| プロトコル/ポート | 指定されたプロトコルとポートに一致するトラフィックにのみ適用されます。 各ルールに対して単一のポートまたはポートの範囲を定義できます。 複数のポートを定義するには、別々のルールを使用してください。例えば、TCPポート80用のルールとTCPポート200用の2番目のルールです。 |
| シグネチャーID |
許可されたリストに含まれるIPS署名と、この署名を持ちこのルールに一致するすべてのトラフィックは、IPSエンジンによって許可されます。 すべてのトラフィックを許可するようにIPSエンジンを設定するには、「Any」を入力できます。 |
| トラッキング | ルールが一致すると、イベントが生成され、電子メール通知アラートが指定されたリストに送信されます。 |
| 有効化する、無効化する、または削除するオプション |
次の表は、各IPS保護範囲の許可リストルールで送信元および宛先フィールドに構成できるエンティティを示しています:
| ルールスコープ | 送信元のための利用可能なエンティティ | 宛先のための利用可能なエンティティ |
|---|---|---|
| インバウンド |
国名 IP 範囲 リモートASN サブネット いずれか |
フローティングサブネット 管理者グループ ホスト インターフェイスサブネット IP ネットワークインタフェース サイト システムグループ ユーザ ユーザーグループ SDPユーザー いずれか |
| WAN |
フローティングサブネット 管理者グループ ホスト インターフェイスサブネット IP ネットワークインタフェース サイト システムグループ ユーザ ユーザーグループ SDPユーザー いずれか |
フローティングサブネット 管理者グループ ホスト インターフェイスサブネット IP ネットワークインタフェース サイト システムグループ ユーザ ユーザーグループ SDPユーザー いずれか |
| アウトバウンド |
フローティングサブネット 管理者グループ ホスト インターフェイスサブネット IP ネットワークインタフェース サイト システムグループ ユーザ ユーザーグループ SDPユーザー いずれか |
国名 ドメイン FQDNの完全修飾ドメイン名 IP 範囲 リモートASN いずれか |
IPS許可リストのルールベースには、IPSエンジンのトラフィックを許可するすべてのルールが含まれます。 すべての一致したIPS許可リストルールがトラフィックに適用されます。この動作は、最初の一致したルールのみが適用される順序付けされたファイアウォールルールベースとは異なります。 これは、複数の許可リストルールに一致する接続がある場合、各一致したルールがイベントを生成することを意味します。
For example, a connection with a blocked IPS signature matches IPS allowlist rules 2 and 4. 接続はIPSエンジンによって許可リスト登録され、許可されます。 The connection generates two separate events, one for rule 2 and one for rule 4.
イベント探索を使用してトラフィックをブロックしているIPS署名を識別し、その後ブロックイベントからIPS許可リストルールを作成できます。 イベント内のシグネチャーIDをクリックして、新しいIPS許可リストルールの設定を構成するためのウィンドウを開くことができます。 The rule is then added to the IPS allowlist rulebase in the IPS policy (Security > IPS).
イベントからIPS許可リストルールを作成するには:
-
ホーム > イベントから、ブロックされたトラフィックのためのIPSイベントを表示します。 これはIPSイベントを表示するサンプル手順です:
- プリセットを選択ドロップダウンメニューから、IPSを選択します。
- IPS署名IDのイベントを見つけます。
- イベントを展開します。
-
シグネチャーIDで、シグネチャーのリンクをクリックします。
新規許可リストパネルが開きます。 ルールの設定はイベントのデータに基づいています。
- IPS許可リストルールの設定をレビューします。 スコープはイベントのトラフィックの方向と一致し、変更できません。
- トラックセクションでは、このシグネチャが許可されたときにイベントとメール通知を生成することを選択できます。
- 保存 をクリックします。 ルールはIPS許可リストルールベースに追加されます。
- IPS許可リストルールベースを表示するには、ナビゲーションメニューからセキュリティ > IPSをクリックし、許可リストタブを選択します。
IPS ポリシー 画面の IPS 許可リスト セクションを使用して、IPS 許可リストルールを手動で作成、編集、削除します。
IPS許可リストルールベースはIPSポリシーページにあります。
IPS許可リストルールベースを表示するには:
- ナビゲーションメニューから、セキュリティ > IPS をクリックします。
- 許可リストタブを選択します。 IPS許可リストルールベースが表示されます。
新しいルールをIPS許可リストルールベースに追加し、ルールの設定を定義できます。 ルールのスコープを編集することはできません。
IPSシグネチャーIDは、CatoがIPSエンジンに使用するカスタムシグネチャーです。 IPSイベントでのみシグネチャーIDを確認できます。
IPS地理的制限トラフィックの許可リスト化
IPS地理的制限ポリシーの許可リストルールを作成する必要がある場合、宛先フィールドにIP範囲を定義する必要があります。 ルールがドメインに基づいて定義されている場合、トラフィックはIPS検査エンジンをバイパスしません。 ドメインに基づいて地理的制限を適用する別の方法は、インターネットファイアウォールを使用することです。 詳細については、インターネットとWANファイアウォールポリシー–ベストプラクティスを参照してください。
手動でIPS許可リストルールを作成するには:
- ナビゲーションメニューから、セキュリティ > App > データAPIをクリックします。
- ルールの新規をクリックします。 新規許可リストパネルが開きます。
- ルールの 名前 を入力します。
- ルールのスコープを選択します。
-
ルールのシグネチャーIDを定義します。詳細はIPS許可リストルールのアイテムを参照してください。
Signature IDをいずれかに設定すると、IPSエンジンはすべての一致するトラフィックを許可します。
- 適用 をクリックします。 IPS許可リストルールがルールベースに追加されました。
- 保存 をクリックします。
0件のコメント
サインインしてコメントを残してください。